Wat is voorwaardelijke toegang?What is Conditional Access?

De moderne beveiligingsperimeter gaat nu verder dan het netwerk van een organisatie en omvat ook de identiteit van gebruikers en apparaten.The modern security perimeter now extends beyond an organization's network to include user and device identity. Organisaties kunnen deze identiteitssignalen gebruiken als onderdeel van hun beslissingen over toegangsbeheer.Organizations can utilize these identity signals as part of their access control decisions.

Voorwaardelijke toegang is de tool die door Azure Active Directory wordt gebruikt om signalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Voorwaardelijke toegang vormt de kern van het nieuwe besturingsvlak op basis van identiteiten.Conditional Access is at the heart of the new identity driven control plane.

Conceptueel voorwaardelijk signaal plus beslissing om afdwinging in te schakelen

De eenvoudigste beleidsregels voor voorwaardelijke toegang zijn als/dan-instructies. Als een gebruiker toegang wil krijgen tot een resource, moet deze een actie uitvoeren.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Voorbeeld: Een salarisbeheerder wil toegang krijgen tot de salaristoepassing en moet hiervoor Multi-Factor Authentication uitvoeren.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Beheerders hebben twee hoofddoelen:Administrators are faced with two primary goals:

  • Geef gebruikers de mogelijkheid overal en altijd productief te zijnEmpower users to be productive wherever and whenever
  • De bedrijfsactiva beschermenProtect the organization's assets

Door het beleid voor voorwaardelijke toegang te gebruiken, kunt u waar nodig de juiste toegangscontroles toepassen zodat uw organisatie veilig blijft en u de gebruiker niet onnodig in de weg zit.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

Processtroom Conceptuele voorwaardelijke toegang

Belangrijk

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid.Conditional Access policies are enforced after first-factor authentication is completed. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.Conditional Access isn't intended to be an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but it can use signals from these events to determine access.

Algemene signalenCommon signals

Via voorwaardelijke toegang kan rekening worden gehouden met de volgende algemene signalen bij het nemen van een beleidsbeslissing:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Gebruikers- of groepslidmaatschapUser or group membership
    • Beleid kan worden afgestemd op specifieke gebruikers en groepen, waardoor beheerders een nauwkeurige controle hebben over de toegang.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP-locatie-informatieIP Location information
    • Organisaties kunnen vertrouwde IP-adresbereiken maken die kunnen worden gebruikt bij het nemen van beleidsbeslissingen.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Beheerders kunnen IP-bereiken voor landen/regio's opgeven om verkeer te blokkeren of toe te staan.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • ApparaatDevice
    • Gebruikers met apparaten van specifieke platforms of die zijn gemarkeerd met een specifieke status, kunnen worden gebruikt bij het afdwingen van beleid voor voorwaardelijke toegang.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ToepassingApplication
    • Gebruikers die toegang proberen te krijgen tot specifieke toepassingen, kunnen verschillende beleidsregels voor voorwaardelijke toegang activeren.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Realtime en berekende risicodetectieReal-time and calculated risk detection
    • Signaalintegratie met Azure AD Identity Protection maakt voorwaardelijk toegangsbeleid mogelijk om riskant aanmeldingsgedrag te identificeren.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Beleid kan gebruikers vervolgens dwingen om wachtwoordwijzigingen of Multi-Factor Authentication uit te voeren om hun risiconiveau te verminderen of de toegang te blokkeren totdat een beheerder handmatige actie onderneemt.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Hiermee kunnen de toegang en sessies van gebruikerstoepassingen in realtime worden bewaakt en beheerd, waardoor de zichtbaarheid en controle over de toegang en activiteiten in uw cloudomgeving worden vergroot.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Algemene beslissingenCommon decisions

  • Toegang blokkerenBlock access
    • Meest beperkende beslissingMost restrictive decision
  • Toegang verlenenGrant access
    • Bij de minst beperkende beslissing kunnen nog steeds een of meer van de volgende opties nodig zijn:Least restrictive decision, can still require one or more of the following options:
      • Multi-Factor Authentication vereisenRequire multi-factor authentication
      • Vereisen dat het apparaat moet worden gemarkeerd als compatibelRequire device to be marked as compliant
      • Hybride Azure AD-gekoppeld apparaat is vereistRequire Hybrid Azure AD joined device
      • Goedgekeurde client-apps vereisenRequire approved client app
      • Beleid voor app-beveiliging vereisen (preview)Require app protection policy (preview)

Algemeen toegepast beleidCommonly applied policies

Veel organisaties hebben algemene toegangsproblemen waarbij het beleid voor voorwaardelijke toegang kan helpen zoals:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Multi-Factor Authentication vereisen voor gebruikers met beheerdersrollenRequiring multi-factor authentication for users with administrative roles
  • Multi-Factor Authentication vereisen voor Azure-beheertakenRequiring multi-factor authentication for Azure management tasks
  • Aanmeldingen blokkeren voor gebruikers die verouderde verificatieprotocollen gebruikenBlocking sign-ins for users attempting to use legacy authentication protocols
  • Vertrouwde locaties voor registratie van Azure AD Multi-Factor Authentication vereisenRequiring trusted locations for Azure AD Multi-Factor Authentication registration
  • Toegang vanaf specifieke locaties blokkeren of verlenenBlocking or granting access from specific locations
  • Riskant aanmeldingsgedrag blokkerenBlocking risky sign-in behaviors
  • Door de organisatie beheerde apparaten vereisen voor specifieke toepassingenRequiring organization-managed devices for specific applications

LicentievereistenLicense requirements

Voor deze functie hebt u een Azure AD Premium P1-licentie nodig.Using this feature requires an Azure AD Premium P1 license. Zie Algemeen beschikbare functies van de edities Gratis, Basic en Premium vergelijken als u een licentie zoekt die bij uw vereisten past.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Klanten met een Microsoft 365 Business Premium-licentie hebben ook toegang tot de functies voor voorwaardelijke toegang.Customers with Microsoft 365 Business Premium licenses also have access to Conditional Access features.

Aanmeldingsrisico heeft toegang nodig tot identiteitsbeveiligingSign-in Risk requires access to Identity Protection

Volgende stappenNext steps